יומן השקיפות של חבילות APK בשירותי המערכת של Google

יומן השקיפות של חבילות APK בשירותי המערכת של Google מתבסס על טכנולוגיית יומן השקיפות.

התועלת של יומני שקיפות הוכחה בפרויקטים כמו Pixel Binary Transparency וגם Certificate Transparency.

יומני השקיפות מיושמים באמצעות עצי Merkle. ההנחה בדף הזה היא שיש לכם ידע כללי על עצי Merkle ועל שקיפות בינארית. במאמר מבני נתונים מאומתים מפורטת סקירה כללית על עצי Merkle, ובדף הראשי מפורטת סקירה כללית על המאמצים לשקיפות בינארית ב-Android.

הטמעת יומן

יומן השקיפות של חבילות APK בשירותי המערכת של Google מיושם בתור עץ Merkle מבוסס-משבצות. השורש של תוכן המשבצות מוצג בכתובת https://developers.google.com/android/binary_transparency/google1p/tile/. חשוב לזכור שזה לא דף אינטרנט רגיל: יש לקרוא את רשומות היומן שמכילות את ספריות המשנה באופן פרוגרמטי באמצעות ספריית Tlog של Golang SumDB, ולא דרך דפדפן. אנחנו מציינים את הקישור כאן לצורך הבהרה.

תיאור של התוכן בכל רשומה מופיע בקטע תוכן היומן.

גיבוב הבסיס של עץ Merkle של יומן, שמכיל checkpoint, מוצג בכתובת https://developers.google.com/android/binary_transparency/google1p/checkpoint.txt בפורמט של נקודת עצירה. העלים של עץ Merkle הזה מוצגים בכתובת https://developers.google.com/android/binary_transparency/google1p/package_info.txt. אפשר לאמת את החתימה של נקודת הבקרה באמצעות המפתח הציבורי שמתואר באישור הבא.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

אפשר למצוא את אותו מפתח ציבורי גם בבלוק של המפתח הציבורי של PGP באבטחת Android בכתובת https://services.google.com/corporate/publickey.txt, שמזוהה על ידי CFAB31BE8DD7AC42FC721980ECA5C68599F17322 אם אתם מעדיפים את PGP.

בדף האימות מוסבר בפירוט רב יותר איך הרכיבים השונים של היומן משמשים לאימות ההצהרות על זכויות יוצרים שמופיעות במודל של המתלונן.